Une récente attaque contre un ferry français, au cours de laquelle un pirate aurait branché un petit ordinateur Raspberry Pi au réseau afin de tenter de pirater les systèmes de navigation du navire, offre une leçon importante aux RSSI des entreprises : selon un analyste, la moitié des entreprises pourraient être compromises par une attaque similaire contre leur environnement physique. Selon un article de Bloomberg, en raison de cette tentative d'attaque, le ferry a été « immobilisé samedi dans le port de Sète, dans le sud de la France, alors qu'il s'apprêtait à mettre le cap sur l'Algérie ». Le boitier Raspberry Pi « était couplé à un modem cellulaire, permettant un accès à distance au réseau informatique interne du ferry et à ses connexions externes. » La bonne nouvelle, c'est que la tentative d'attaque a été stoppée grâce aux bonnes procédures de sécurité mises en place à bord, selon l'article. « Selon les enquêteurs, c’est la séparation entre les réseaux administratifs et opérationnels, ainsi que l'absence d'accès à distance aux commandes critiques, qui ont empêché tout mouvement latéral et exclu tout scénario de sabotage ou de détournement. »
Les contrôles d'entreprise surveillent les mauvaises routes
La question qui se pose aux responsables de la cybersécurité des entreprises est de savoir dans quelle mesure leurs bâtiments terrestres (bureaux, magasins, stations-service, agences bancaires, sites de production, etc.) auraient résisté à une attaque physique similaire. Les analystes et autres experts en sécurité ne se sont pas montrés optimistes quant à leur résistance. « La plupart des programmes de sécurité des entreprises sont encore conçus pour le mauvais type d'intrus. Ils sont conçus pour les personnes qui s'introduisent par effraction, et non pour celles qui entrent librement. Et l'histoire des appareils malveillants est le signe le plus évident de ce changement », a déclaré Sanchit Vir Gogia, analyste en chef chez Greyhound Research. « Un appareil de type Raspberry Pi équipé d'un modem cellulaire n'est pas seulement un gadget intelligent, c'est un moyen de créer un nouveau périmètre à l'intérieur de votre bâtiment. » Celui-ci rappelle qu'un attaquant « n'a pas besoin de lutter contre les pare-feux mis en place par l’entreprise s'il peut les contourner. Il n'a pas besoin de contourner le VPN s'il peut apporter sa propre connexion Internet directement dans l’armoire de câblage. C'est ce qui devrait empêcher les RSSI de dormir, car cela signifie qu'une grande partie des contrôles que l’on vante ici et là surveillent les mauvaises routes. Si le trafic passe par le réseau cellulaire, il ne traverse pas les passerelles surveillées. Le SOC peut faire tout ce qu'il faut et ne rien voir. »
Fred Chagnon, directeur principal de la recherche chez Info-Tech Research Group, partage les préoccupations de M. Gogia. « La plupart des bureaux disposent de dizaines de ports Ethernet actifs dans les halls d'entrée, sous les tables de conférence et dans les couloirs. Ceux-ci devraient être désactivés par défaut au niveau du commutateur. Un port ne devrait être activé que lorsqu'une adresse MAC spécifique et autorisée est vérifiée via l'authentification 802.1X », a insisté M. Chagnon. Il ajoute que « les cybercriminels modernes utilisent l'usurpation d'adresse MAC pour faire passer un Raspberry Pi pour un téléphone VoIP ou une imprimante légitime. Les RSSI doivent investir dans des outils, tels que Sepio ou des NAC avancés, qui effectuent une empreinte digitale au niveau de la couche physique. Ces outils analysent les caractéristiques électriques et temporelles du matériel afin de détecter si une « imprimante » n’est pas en réalité un implant basé sur Linux. » M. Chagnon encourage également l'utilisation intensive de verrous de port nécessitant une clef et d'un ruban inviolable sur le châssis et les ports. « Les contrôles de sécurité doivent inclure la recherche de fils supplémentaires, de hubs USB non autorisés ou de petits boîtiers qui ne correspondent pas à l'inventaire des actifs », a-t-il recommandé. « Si une porte donnant accès à une zone restreinte est ouverte et qu'un appareil inconnu apparaît simultanément sur ce commutateur local, le SOC doit recevoir une alerte corrélée hautement prioritaire. »
Tout appareil doit être authentifié
Selon Paddy Harrington, analyste senior chez Forrester, de nombreux responsables de la sécurité dans les entreprises « oublient à quel point ces appareils sont vulnérables aux attaques » et il a spécifiquement désigné les équipements IoT et OT comme des cibles privilégiées. M. Harrington estime que trop de responsables de la sécurité se concentrent sur les fonctions supposées des appareils fantômes, tels que les trackers d'activité physique, et ne prêtent pas attention à l'accès que ces appareils pourraient permettre en tant que point d'entrée pour une attaque par porte dérobée. « Il devrait être impossible de s’approcher d'un port Ethernet et d’y brancher n'importe quoi. Tout appareil doit être authentifié », a déclaré M. Harrington, qui estime par ailleurs que 50 % des entreprises négligent trop la sécurité des appareils. « Pourquoi des ampoules IoT devraient-elles avoir accès à des données financières ? », a-t-il demandé. Lorsqu'il interpelle les responsables de la sécurité des entreprises sur la sécurité physique, il se heurte à une certaine résistance. Par exemple, lors d'une récente discussion sur la segmentation du réseau, le dirigeant lui a répondu : « Segmenter notre environnement à ce point va demander beaucoup de temps et d'efforts, et nous réorientons nos budgets vers d'autres domaines. » M. Harrington a répondu que pour lui, « c'était une mauvaise excuse ».
Cependant, un responsable de la sécurité, Flavio Villanustre, RSSI du groupe LexisNexis Risk Solutions, a convenu que ce type d'attaques physiques pouvait être difficile à bloquer. « La prolifération de mini ordinateurs, peu coûteux et très performants, comme le Raspberry Pi, a rendu ce problème beaucoup plus difficile à résoudre. La détection des intrusions dans le réseau aurait dû permettre de détecter les anomalies de comportement, mais cela est plus facile à dire qu'à faire lorsque l'on dispose d'un réseau complexe et étendu et que le Raspberry Pi ressemble à n'importe quel autre appareil IoT normal », a fait remarquer M. Villanustre. « Et cela en supposant qu'il était même connecté au réseau, plutôt qu'à un ancien bus série dans les systèmes de contrôle du navire. »
Procéder avec prudence
M.Villanustre encourage toute personne découvrant un tel appareil à procéder avec prudence. « Déconnecter l'appareil pourrait entraîner la perte d'informations importantes pour l'enquête si l'on ne fait pas attention. Il n'est pas très difficile d'équiper l'appareil d'une petite batterie ou d'un supercondensateur qui lui donnerait suffisamment de temps pour s'effacer s'il était déconnecté du réseau ou altéré d'une manière ou d'une autre », a expliqué M. Villanustre. « Il est encore plus difficile d'essayer d'envoyer de fausses informations, car il faudrait identifier les protocoles utilisés par l'appareil pour savoir quoi envoyer. Une préoccupation plus importante est de savoir si l'appareil est connecté à un autre équipement du navire et pourrait déclencher une action dommageable s'il était altéré. Il pourrait même faire exploser une bombe. »
Pour faire face à ce type de découverte physique, le CEO de Whisper Security, Kaveh Ranjibar, conseille pour sa part « d’isoler immédiatement et de procéder à l'analyse médico-légale, mais avec une étape cruciale avant le retrait physique : cartographier le rayon d'action ». Avant de débrancher, il recommande de capturer le trafic réseau de l'appareil pour déterminer avec qui il communique ou encore quels domaines il interroge. « Grâce aux informations sur l'infrastructure, on parvient souvent à identifier l'acteur en fonction de la proximité des serveurs de commande et de contrôle qu'il utilise, ce qui permet de comprendre s'il s'agit d'un script kiddie ou d'une opération du GRU avant de toucher au matériel », a déclaré M. Ranjibar. Celui-ci ajoute que lorsque ces appareils se connectent à leur serveur, ils peuvent révéler de nombreuses informations utiles. « Un appareil malveillant comme un Raspberry Pi, même équipé d'un modem cellulaire, n'est pas invisible. Il doit communiquer avec sa base pour recevoir des commandes ou exfiltrer des données. Il crée une empreinte infrastructurelle : une nouvelle adresse IP, une résolution DNS ou une connexion à un numéro de système autonome (ASN) spécifique », a poursuivi M. Ranjibar. « Les RSSI doivent aller au-delà de la simple surveillance de leur réseau local interne », a-t-il ajouté. « Ils ont besoin d'une surveillance continue de l'infrastructure externe. Un appareil présent sur un navire ou dans un bâtiment qui commence à communiquer avec un bloc réseau connu pour héberger des logiciels malveillants parrainés par l'État, ou un nouvel actif fantôme qui apparaît sur le périmètre sont des déclencheurs. Peut-être qu’il ne sera pas possible d’attraper la personne qui a placé l'appareil, mais on doit pouvoir détecter immédiatement l'appareil lorsqu'il se connecte à Internet. »
Commentaire